해킹 시 서비스 거부 발생…방화벽 등 네트워크 장비 영향 받아

한국정보보호진흥원 산하 인터넷침해사고대응지원센터(KRCERT)는 IPSec ISAKMP 프로토콜 구현상에 취약점이 존재했다며 17일 패치를 권고했다.

KRCERT에 따르면 IPSEC ISAKMP 프로토콜 구현상의 오류로서, 영향받는 플랫폼에 원격 공격자가 악의적으로 조작된 IKE(Internet Key Exchange) 패킷을 전송하였을 때 서비스 거부가 발생하거나, 포맷 스트링, 버퍼 오버플로우 취약점이 악용될 수 있다.
해당 취약점은 PROTOS 프로젝트의 IPSec Test Suite(프로토콜 보안 점검 도구)에 의해 보고되었으며, 제품별 취약점의 상세 내용은 공개되지 않았다.

이 취약점에 공격을 받으면 서비스 거부(Denial Of Service) 등이 발생할 수 있어 주의가 필요하다. 이번 시스템에 영향받는 플랫폼으로는 IETF RFC 2409(IKE) 명세를 준용하여 구현된 방화벽(Firewall), 라우터, VPN 등의 네트워크 장비가 있다.

해결방안으로는 임시로 패킷 필터를 사용하여 신뢰할 수 있는 IP 주소로부터 수신된 ISAKMP 패킷만 허용하는 방법이 있으며, 해당 벤더사의 패치를 적용하는 방법이 있다.

◇벤더사에 따른 패치 적용 방법
- Cisco Security Advisory
http://www.cisco.com/en/US/products/products_security_advisory09186a0080572f55.shtml

- Sun Solaris
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102040-1

- OpenSwan
http://www.openswan.org/niscc2/

- StoneGate
http://www.stonesoft.com/support/Security_Advisories/7244.html

- Entrust
https://www.entrust.com/trustedcare/troubleshooting/e05-009.htm

- Juniper Security Update : 벤더사에 직접 문의

※ 용어 정리
o IPSec(Internet Protocol Security protocol) : IP 패킷에 보안을 부여하기 위한 일련의 프로토콜. 데이터 송신자의 인증을 허용하는 인증 헤더(AH)와 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload)의 보안 서비스를 제공함

o ISAKMP((Internet Key Exchange) :  IPSec의 키 관리 메커니즘으로서 인증방법, 암호화 알고리즘, 암호화와 인증에 사용되는 키의 유효 사용기간 등 보안 설정 사항을 협상하고 생성함. ISAKMP 프로토콜로 협상 완료 후 IPSec 연결이 이루어짐

o PROTOS 프로젝트 : 핀란드 Oulu 대학에서 진행하고 있으며, 프로토콜 구현상의 보안취약성을 평가할 수 있는 방법론 및 도구를 개발하는 프로젝트. SNMPv1, ISAKMP 등의 보안점검 도구가 공개되어 있음

[정재형 기자(is21@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>